読者です 読者をやめる 読者になる 読者になる

情報セキュリティスペシャリスト受験ノート

情報セキュリティスペシャリストの試験勉強用のノートです。

IPアドレス詐称対策に関する問題

【H25春秋SC午後1問2】

 

1.攻撃の検出について

 

DNSの名前解決通信】

  • UDPを使用
  • UDPは、TCP3wayハンドシェイクを用いてコネクションを確立)と比べて送信元IPアドレスの詐称の検知が困難。

【キャッシュポイズニング攻撃(CP攻撃)】

  • 応答パケットの送信元IPアドレスや宛先ポート番号を細工した攻撃により、大量のDNSパケットがFWにより通過を拒否された。
    CP攻撃を成功しにくくする対策
    ⇒ 問合せPTの送信元ポート番号をランダムに変えること

根本的な対策は、公開鍵暗号によるディジタル署名の仕組みを応用したDNSSECというDNSセキュリティ拡張方式を導入することだが、鍵の管理などの運用手順が必要になる。

 

【FW-A及びC-DNSサーバ(キャッシュDNS)の調査】

  • C-DNSサーバには、
    ・上記のCP攻撃を成功しにくくする設定が行われている。
    再帰的な名前解決の問合せPTの送信元を限定する設定が行われている。
    しかし、拒否される応答PTが多い状況のため、FW-AとC-DNSサーバを調査。

(1)送信元を詐称した問合せPT

  • 送信元が外部メールサーバ、かつ、宛先がC-DNSサーバ、かつ、FW-Aが通過を許可した問合せPT。→ 10分に1個受信。
    内容は、国内の取引先G社が取得したドメイン名のTXTレコードの問合せ。
    ⇒ 拒否しない設定にしている理由:送信元が外部メールサーバの場合、再帰的な名前解決を許可する必要があるから。

(2)DNSサーバに向けた応答PT

  • (1)の問合せPTが届いた直後の1秒間に、送信元がG社のDNSサーバ、かつ、宛先がC-DNSサーバである応答PTが100個届き、FW-Aが通過を拒否した。
  • 100個の応答PTの宛先ポート番号は、到着順に連番であった。
  • 応答内容はG社のドメイン名のTXTレコードであった。
  • TXTレオードには、SPFレコードが設定されていた。SPFレコードに設定されていたIPアドレスは、G社に割り当てられたものではなかった。
  • C-DNSサーバが(1)の問合せPTの名前解決を行うための問合せPTは、インターネット上のDNSサーバに送信されてはいなかった。

この攻撃は偶然に成功する可能性があり、攻撃に続く攻撃として、
⇒ G社のドメイン名になりすましたメールを外部メールサーバに送信する
という、TXTレコードを利用する機能への攻撃が発生する。

(3)C-DNSサーバのキャッシュ

  • C-DNSサーバのキャッシュには、G社のドメイン名のTXTレコードが保存されていた。
  • TXTレコードには、SPFレコードが設定されており、G社に割り当てられたIPアドレスのうち、G社がメールを送信するサーバのIPアドレスが設定されていた。

 

2.支社システムの検討と導入

A社では、インターネット及びIP-VPNトラフィック増加に対処するため、支社システムを導入することとした。
支社システムには、新たなFWを導入し、インターネット、新たなDMZ及び支社LANを接続することにした。
新たなDMZには、支社プロキシサーバを導入した。
支社プロキシサーバの名前解決に、C-DNSサーバを利用することと、FW-AとC-DNSサーバの設定の見直しを検討した。
検討の結果、送信元が支社プロキシサーバに詐称された問合せPTを拒否する設定は不可能であり、FW-AのIPアドレス詐称対策機能が有効に機能しないことがわかった。
再検討した結果、支社システムに機能を追加することで対応することにした。
この対策によって、支社プロキシサーバとC-DNSサーバ間の通信が不要になることも確認した。

 

送信元を支社プロキシサーバに詐称した問合せPTに対し、FW-AのIP
アドレス詐称対策機能が有効に機能しない理由
⇒ 支社プロキシサーバからの正規問い合わせPTと詐称された問い合わせPTとを識別できないから

 

支社システムに追加する機能
⇒ リゾルバ機能およびDNSキャッシュ機能(C-DNSサーバと同じ機能。前述あり)

05.